Selbstregistrierung neuer Benutzer im Web Portal
Noch nicht registrierte Benutzer haben die Möglichkeit sich für die Nutzung des Web Portals selbst zu registrieren. Diese Benutzer können sich am Web Portal anmelden, sobald die verantwortlichen Personen die Stammdaten des Benutzers attestiert haben und die Benutzer ein Kennwort gesetzt haben. In der One Identity Manager-Datenbank wird eine externe Person angelegt.
Ablauf der Attestierung:
- Der Benutzer meldet sich erstmalig am Web Portal an und erfasst die benötigten Stammdaten.
Ein neues Personenobjekt wird in der One Identity Manager-Datenbank angelegt mit den Eigenschaften:
Tabelle 51: Eigenschaften einer neu angelegten Person
|
Zertifizierungsstatus |
Neu |
|
Extern |
aktiviert |
|
Kontakt-E-Mail-Adresse |
E-Mail-Adresse, an die der Bestätigungslink geschickt wird. |
|
Dauerhaft deaktiviert |
aktiviert |
|
Keine Vererbung |
aktiviert |
- Die Attestierung startet automatisch.
Genutzte Attestierungsrichtlinie: Zertifizierung neuer Benutzer
Hinweis: Die Attestierung startet nur dann automatisch, wenn der Konfigurationsparameter QER | Attestation | UserApproval aktiviert ist. Andernfalls bleibt der neue Benutzer dauerhaft deaktiviert, bis ein Verantwortlicher die Personenstammdaten manuell ändert.
- Die Attestierer werden ermittelt.
Wirksame Entscheidungsrichtlinie: Zertifizierung von Benutzern
-
Wenn der Konfigurationsparameter QER | Attestation | ApproveNewExternalUsers aktiviert ist und der Wert 1 eingestellt ist, wird der Attestierungsvorgang den Mitgliedern der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer vorgelegt.
- Wenn ein Attestierer für externe Benutzer die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
Tabelle 52: Eigenschaften einer externen Person mit abgelehnter Attestierung
|
Zertifizierungsstatus |
Abgelehnt |
|
|
Extern |
aktiviert |
|
|
Dauerhaft deaktiviert |
aktiviert |
Der Benutzer kann sich nicht am Web Portal anmelden. |
|
Keine Vererbung |
aktiviert |
Unternehmensressourcen werden nicht vererbt. |
-
Wenn ein Attestierer für externe Benutzer der Attestierung zustimmt, wird eine E-Mail mit einem Bestätigungslink an den neuen Benutzer versendet.
HINWEIS: Wenn der Konfigurationsparameter QER | Attestation | ApproveNewExternalUsers deaktiviert ist oder der Wert 0 eingestellt ist, wird sofort eine E-Mail mit dem Bestätigungslink an den neuen Benutzer versendet.
-
Sobald der Benutzer dem Bestätigungslink gefolgt ist und ein Kennwort sowie die Kennwortfragen festgelegt hat, wird der Attestierungsvorgang genehmigt. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
Tabelle 53: Eigenschaften einer externen Person mit genehmigter Attestierung
|
Zertifizierungsstatus |
Zertifiziert |
|
|
Extern |
aktiviert |
|
|
Dauerhaft deaktiviert |
deaktiviert |
Der Benutzer kann sich am Web Portal anmelden. |
|
Keine Vererbung |
deaktiviert |
Unternehmensressourcen werden vererbt. |
Standardmäßig ist der Bestätigungslink 4 Stunden gültig. Wenn die Anmeldung am Kennwortrücksetzungsportal fehl schlägt, weil diese Zeit abgelaufen ist, kann der Benutzer sich einen neuen Bestätigungslink zusenden lassen.
Wenn der Benutzer die Registrierung nicht innerhalb von 24 Stunden abgeschlossen hat, wird der Attestierungsvorgang abgebrochen. Um sich dennoch zu registrieren, muss sich der Benutzer erneut vollständig am Web Portal anmelden.
Verwandte Themen
Anlegen neuer Personen durch einen Manager oder Personenadministrator
Eine Attestierung neuer Benutzer ist auch dann möglich, wenn im Manager neue Personen angelegt werden oder wenn ein Manager im Web Portal einen neuen Mitarbeiter hinzufügt. Das gewünschte Verhalten wird am Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState festgelegt. Standardmäßig hat der Konfigurationsparameter den Wert 0. Damit erhält jede neue Person den Zertifizierungsstatus Zertifiziert. Es wird keine automatische Attestierung durchgeführt.
Damit neue Benutzer automatisch attestiert werden können
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState und setzen Sie den Wert auf 1.
Alle Personen, die ab diesem Zeitpunkt neu in der Datenbank angelegt werden, erhalten den Zertifizierungsstatus Neu. Damit wird eine automatische Attestierung dieser Personen durchgeführt.
Für interne und externe Personen gelten jeweils unterschiedliche Abläufe.
Ablauf der Attestierung:
- Erfassen Sie die Stammdaten des neuen Benutzers und ordnen Sie einen Manager zu.
Ausführliche Informationen zum Anlegen von Personen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul und im One Identity Manager Web Designer Web Portal Anwenderhandbuch.
Der Zertifizierungsstatus entspricht dem Wert des Konfigurationsparameters QER | Attestation | UserApproval | InitialApprovalState. Wenn am Konfigurationsparameter der Wert 1 gesetzt ist, wird der Zertifizierungsstatus Neu gesetzt.
Die Person ist standardmäßig aktiviert. Sie kann sich daher sofort am One Identity Manager anmelden. Damit die Person sich erst dann am One Identity Manager anmelden kann, wenn ihre Stammdaten attestiert wurden, deaktivieren Sie die Person.
- Sobald die Personenstammdaten gespeichert wurden, startet die Attestierung.
Genutzte Attestierungsrichtlinie: Zertifizierung neuer Benutzer
- Die Attestierer werden ermittelt.
Wirksame Entscheidungsrichtlinie: Zertifizierung von Benutzern
-
Wenn an der Person die Option Extern aktiviert ist:
Die Attestierung läuft wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.
- Wenn an der Person die Option Extern deaktiviert ist:
- Der One Identity Manager prüft, ob der Person ein Manager zugeordnet wurde.
-
Wenn der Person ein Manager zugeordnet wurde, wird der Vorgang sofort diesem Manager zur Entscheidung zugewiesen.
-
Wenn der Person kein Manager zugeordnet wurde, wird der Vorgang den Personenadministratoren zur Entscheidung zugewiesen.
- Ein Personenadministrator prüft die Stammdaten des neuen Benutzers und ordnet gegebenenfalls einen Manager zu.
-
Ein Personenadministrator ordnet einen Manager zu und stimmt der Attestierung zu. Der Vorgang wird dem Manager zur Entscheidung zugewiesen.
-
Wenn ein Personenadministrator keinen Manager zuordnet und der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
Tabelle 54: Eigenschaften einer Person mit genehmigter Attestierung
|
Zertifizierungsstatus |
Zertifiziert |
|
|
Extern |
deaktiviert |
|
|
Dauerhaft deaktiviert |
deaktiviert |
|
|
Keine Vererbung |
deaktiviert |
Unternehmensressourcen werden vererbt. |
-
Wenn ein Personenadministrator die Attestierung ablehnt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
Tabelle 55: Eigenschaften einer Person mit abgelehnter Attestierung
|
Zertifizierungsstatus |
Abgelehnt |
|
|
Extern |
deaktiviert |
|
|
Dauerhaft deaktiviert |
aktiviert |
|
|
Keine Vererbung |
aktiviert |
Unternehmensressourcen werden nicht vererbt.
Benutzerkonten werden nicht automatisch erstellt. |
- Der Manager kann die Attestierung ablehnen, wenn er nicht der verantwortliche Manager dieses Benutzers ist.
-
Er kann eine andere Person als Manager zuordnen. Diesem wird der Vorgang sofort zur Entscheidung zugewiesen.
-
Wenn ihm der korrekte Manager nicht bekannt ist, wird die Entscheidung an die Personenadministratoren zurückgegeben. Diese können
-
einen anderen Manager zuordnen,
-
keinen neuen Manager zuordnen und der Attestierung zustimmen oder
-
die Attestierung ablehnen.
- Wenn der Manager der Attestierung zustimmt, ist der Attestierungsvorgang abgeschlossen. Die Eigenschaften des Personenobjekts werden in der Datenbank aktualisiert.
Tabelle 56: Eigenschaften einer Person mit genehmigter Attestierung
|
Zertifizierungsstatus |
Zertifiziert |
|
|
Extern |
deaktiviert |
|
|
Dauerhaft deaktiviert |
deaktiviert |
|
|
Keine Vererbung |
deaktiviert |
Unternehmensressourcen werden vererbt. |
HINWEIS: Die Attestierung endgültig ablehnen können nur die Personenadministratoren. Wenn ein Manager die Attestierung ablehnt, wird der Vorgang in jedem Fall an die Personenadministratoren zur Entscheidung zurückgewiesen.
Verwandte Themen
Importieren neuer Personenstammdaten
Eine Attestierung neuer Personen kann angefordert werden, wenn die Personenstammdaten aus anderen Systemen in die One Identity Manager-Datenbank importiert werden. Damit neue Personen automatisch attestiert werden, muss der Zertifizierungsstatus der Person beim Anlegen auf Neu gesetzt werden (Person.ApprovalState='1'). Dafür gibt es zwei Möglichkeiten:
-
Für den Zertifizierungsstatus wird der Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalState ausgewertet. Wenn am Konfigurationsparameter der Wert 1 gesetzt ist, wird der Zertifizierungsstatus Neu gesetzt.
Voraussetzung: Der Import verändert nicht die Eigenschaft Person.ApprovalState.
Hinweis: Standardmäßig hat der Konfigurationsparameter QER | Attestation | UserApproval | InitialApprovalStateden Wert 0. Damit erhält jede neue Person den Zertifizierungsstatus Zertifiziert. Es wird keine automatische Attestierung durchgeführt.
Wenn neue Personen sofort attestiert werden sollen, ändern Sie den Wert des Konfigurationsparameters auf 1.
- Der Import setzt explizit die Eigenschaft Person.ApprovalState.
-
Der Import setzt ApprovalState='1' (Neu).
Die Person wird automatisch dem Manager zur Attestierung vorgelegt.
-
Der Import setzt ApprovalState='0' (Zertifiziert).
Die importierten Personenstammdaten sind bereits autorisiert. Sie sollen nicht erneut attestiert werden.
-
Der Import setzt ApprovalState='3' (Abgelehnt).
Die Person wird dauerhaft deaktiviert und nicht attestiert.
Die Attestierung neuer Benutzer wird ausgelöst, wenn
-
der Konfigurationsparamter QER | Attestation | UserApproval aktiviert ist,
-
neue Personenstammdaten in die One Identity Manager-Datenbank importiert wurden,
-
der Zertifizierungsstatus der neuen Personen Neu ist und
-
keine Datenquelle Import an der Person hinterlegt ist.
Wenn an der Person die Option Extern deaktiviert ist, läuft die Attestierung wie im Abschnitt Anlegen neuer Personen durch einen Manager oder Personenadministrator, Schritt 5 beschrieben ab.
Wenn an der Person die Option Extern aktiviert ist, läuft die Attestierung wie im Abschnitt Selbstregistrierung neuer Benutzer im Web Portal, Schritt 4 bis 5 beschrieben ab.
Es wird die Attestierungsrichtlinie Zertifizierung neuer Benutzer ausgeführt.
Verwandte Themen
Zeitgesteuerte Attestierungen
Benutzer werden auch dann attestiert, wenn der Zertifizierungsstatus einer Person nachträglich (manuell oder per Import) auf Neu gesetzt wird. Dafür ist der Attestierungsrichtlinie Zertifizierung neuer Benutzer der Zeitplan Daily zugeordnet. Die Attestierung neuer Benutzer wird ausgelöst, wenn der in diesem Zeitplan angegebene Ausführungszeitpunkt erreicht ist. Dabei werden alle Personen ermittelt, deren Zertifizierungsstatus Neu ist und für die es keinen offenen Attestierungsvorgang gibt.
Sie können der Attestierungsrichtlinie bei Bedarf einen unternehmensspezifischen Zeitplan zuweisen.
Detaillierte Informationen zum Thema
